Cyber-risques : conseils pour gérer efficacement les risques liés aux quatrième parties
De plus en plus de dirigeants d’entreprise prennent conscience des cyber-risques, et ce à juste titre. Ces risques ne concernent pas seulement les menaces technologiques. Ce sont en effet des risques opérationnels qui peuvent coûter très cher, tant sur le plan financier qu’en termes de réputation. Les risques liés aux tiers, dont ceux associés à la chaîne d’approvisionnement, comptent désormais parmi les menaces les plus sérieuses. Aujourd’hui, de nombreuses fonctions informatiques et de sécurité reposent sur des prestataires externes, comme les fournisseurs de services Cloud et SaaS. Cela signifie qu’un nombre considérable de données sensibles sont transmises, traitées et stockées dans des environnements gérés par ces tiers. Mais lorsque ces derniers s’appuient à leur tour sur d’autres partenaires, les « quatrièmes parties », pour traiter et gérer ces données, comment savoir si vos informations sont réellement protégées ?

Risques liés aux quatrièmes parties : comment les identifier ?
Étant donné que de nombreux acteurs interviennent dans la chaîne d’approvisionnement, il est important d’identifier ceux qui, en coulisse, manipulent les informations sensibles de votre entreprise. Les lois et réglementations en matière de cybersécurité, particulièrement strictes dans les secteurs fortement régulés tels que la banque, les assurances et les services de santé, imposent une vigilance particulière envers les fournisseurs. Ces exigences ont souvent amené les responsables des risques à solliciter des informations de leurs tiers concernant les risques associés aux quatrième parties. Idéalement, ces informations devraient être précisées contractuellement, mais en l’absence de telles clauses et face à des fournisseurs réticents qui repoussent leurs demandes ou font la sourde oreille, quels sont véritablement les recours de l’entreprise ?
La gestion de la surface d’attaque externe (EASM) consiste à identifier et à analyser les vulnérabilités et les risques de sécurité associés aux points d’entrée numériques d’une organisation qui sont exposés au public. Plus concrètement, l’EASM englobe non seulement les infrastructures internes de l’organisation, mais aussi les fournisseurs de services SaaS, qu’ils soient partenaires tiers ou « quatrièmes parties », avec lesquels l’organisation interagit. Elle permet ainsi de sécuriser l’ensemble de l’écosystème numérique, en tenant compte des relations avec des acteurs externes et des éventuelles vulnérabilités qui y sont associées. Les solutions EASM, généralement proposées sous forme de SaaS, génèrent des tableaux de bord après avoir analysé les infrastructures numériques. Dans certains cas, ces outils n’ont même pas besoin d’une connexion directe aux systèmes internes de l’entreprise pour fonctionner. Ils s’appuient sur un ensemble ciblé d’informations spécifiques à l’organisation pour identifier les actifs accessibles publiquement et détecter d’éventuelles vulnérabilités. L’un des principaux atouts des outils EASM réside dans leur capacité à détecter des actifs numériques exposés sur Internet, dont l’entreprise ignore même l’existence. Grâce à l’intelligence artificielle, ces outils surveillent en continu la surface numérique de l’organisation, identifient immédiatement les nouveaux actifs et fournissent des informations détaillées sur les vulnérabilités, les menaces et les risques via un tableau de bord complet.

Risques liés aux quatrièmes parties : comment les gérer ?
Pour une gestion optimale des risques associés aux quatrièmes parties, les entreprises doivent à tout prix interroger leurs fournisseurs tiers sur les mesures de sécurité qu’ils déploient pour protéger ces acteurs. Les organisations se doivent de connaître précisément leurs modalités d’avertissement en cas d’incident de sécurité qui pourraient affecter leurs opérations et leurs données. Ces échanges sont également l’occasion de réévaluer les accords de niveau de service (SLA) conclus avec les fournisseurs tiers, notamment en ce qui concerne les conditions de notification des incidents de sécurité. Il vous faut vous assurer que les délais de notification correspondent aux politiques internes en matière de reprise après sinistre, de continuité des activités et aux exigences réglementaires en vigueur.
Pour une surveillance continue et efficace des risques liés aux tiers, l’organisation doit désormais prendre en compte les quatrièmes parties à risque dans sa stratégie de sécurité. Grâce à un outil de scoring de sécurité professionnel, il devient possible de suivre en temps réel les scores de sécurité des quatrièmes parties et d’être ainsi averti avant qu’une violation ou un incident ne perturbe votre activité ou entraîne des pertes financières. Par ailleurs, un outil EASM permet de réaliser des analyses continues ou régulières pour détecter les vulnérabilités et mauvaises configurations chez les fournisseurs tiers et quatrièmes parties. Les prestataires concernés ont ainsi la possibilité de prendre des mesures correctives rapidement, et donc de limiter les risques pour votre entreprise.

Comment réduire le risque de concentration des tiers ?
Lorsque des tiers dépendent d’un seul fournisseur, ou « quatrième partie », l’idée d’un point de défaillance unique peut susciter des inquiétudes. Ce risque de concentration apparaît lorsque votre entreprise devient excessivement dépendante d’un seul fournisseur de services essentiels et/ou est tributaire de ressources situées dans une région potentiellement exposée à des tensions géopolitiques ou à des conflits armés. Votre organisation doit donc aborder ce risque de concentration avec ses tiers et exprimer ses craintes. De nombreux grands fournisseurs de services de gestion des risques ont déjà intégré l’analyse du risque de concentration dans leurs stratégies. Ils disposent ainsi de données précieuses pour quantifier ce risque et de stratégies éprouvées pour le réduire et le gérer de manière efficace.

Qui, au sein de l’organisation, devrait se charger de surveiller les tierces parties et les risques qui leur sont associés ?
La gestion des risques inhérents aux tierces parties, aux quatrièmes parties et à la chaîne d’approvisionnement implique généralement une approche collaborative entre différents départements. Les services d’approvisionnement et/ou de gestion des fournisseurs tiers de l’entreprise sont souvent responsables de l’intégration des fournisseurs et de l’exécution de la due diligence tant initiale que continue. Cependant, dans de nombreux cas, les tiers qui fournissent les services, déterminent les niveaux de service et savent qui sont les quatrièmes parties, sont directement gérés par les responsables des systèmes d’informations et des applications qui ne font pas nécessairement partie des départements de l’entreprise à proprement parler.
Ces responsables sont d’ailleurs les premiers à être contactés en cas de panne, de problèmes techniques ou d’incidents de sécurité. Ils peuvent avoir accumulé des données précieuses sur les services et la sécurité. Mais il arrive que la communication entre les départements techniques et les équipes en charge des relations avec les tiers soit insuffisante, notamment lorsque les niveaux de service réels ne sont pas partagés (en temps utile). Cette situation se complique encore en l’absence de plateforme centralisée pour la gestion des achats, des fournisseurs tiers ou de la chaîne d’approvisionnement au sein de l’entreprise.

Pour une meilleure communication et plus de transparence, les entreprises devraient instaurer une mise à jour annuelle des informations relatives aux tiers et quatrièmes parties sur la plateforme en question. Cette mise à jour devrait idéalement coïncider avec les révisions des accords de niveau de service (SLA) et les renouvellements de contrats. Il serait également pertinent que cette plateforme soit rattachée à un système de suivi des scores de sécurité des fournisseurs, pour offrir une vue centralisée de toutes les informations essentielles sur un tableau de bord unique. Enfin, pour éviter toute ambiguïté quant aux rôles et responsabilités des acteurs, « centralisés » et « décentralisés », il serait judicieux de mettre en place une matrice RACI.

Conclusion
Face aux risques liés à la chaîne d’approvisionnement, une série de mesures multidisciplinaires devient indispensable. Les organisations doivent donc disposer d’un programme de gestion des risques fournisseurs solide, d’une plateforme de gestion de fournisseurs à usage professionnel, d’un outil EASM et d’accords contractuels révisés, qui incluent notamment la divulgation d’informations concernant les quatrièmes parties. En fin de compte, seule une approche intégrée et cohérente, alliant harmonieusement ressources humaines, processus et technologies, permettra d’assurer une gestion efficace des risques liés aux quatrième parties.